Fix tarfile security issue #434
Conversation
|
From docs https://docs.python.org/3.10/library/tarfile.html#tarfile.TarFile.extractall
The test is running under python 3.10.6 |
Then the test image MUST be updated: The This is a security fix (see https://www.python.org/downloads/release/python-3817/) and, imho, it is not acceptable to use outdated releases. |
|
Pour les tests, c'est totalement mineur comme souci. Par contre, c'est pour la prod le problème en l'état actuel du PR, ca va juste mettre une Python stacktrace à l'utilisateur, sans comprendre quoi faire. Soit on trouve les versions min Python dans les différentes versions de QGIS et on monte la version min si on peut se le permettre. Mais sinon, il faut impérativement soit tester la version de Python, soit un
On est d'accord, mais nous n'avons aucun contrôle sur la version de Python... ce n'est pas de notre resort. |
Opening untrunsted tarfile is a potential security issue:
Since tarfiles used in cadastre are downloaded from external site, they should be considered as untrusted.
The issue is solved by adding the parameter
fllter='data'in theextractallmethod: see See https://docs.python.org/3.8/library/tarfile.html#tarfile.TarFile.extractall.IMPORTANT NOTE: the
filterparameter require python 3.8 minimum.Lower version of python are DEPRECATED and should not be supported anymore, since they present a secuity risk.